
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:Verdana;


        panose-1:2 11 6 4 3 5 4 4 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0in;


        mso-margin-bottom-alt:auto;


        margin-left:0in;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


span.EmailStyle19


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">We do something similar to that – we created a pcap and then a rule to match the content of the PCAP.  Hourly a cronjob uses tcpreplay to send the pcap out the listening interface


 of our suricata hosts.  If we don’t see one alert for that SID every hour on each box, then we alert and investigate.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"><o:p> </o:p></span></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Oisf-users [mailto:oisf-users-bounces@lists.openinfosecfoundation.org]


<b>On Behalf Of </b>secres@linuxmail.org<br>


<b>Sent:</b> Monday, July 31, 2017 09:10 AM<br>


<b>To:</b> Jason Ish <ish@unx.ca><br>


<b>Cc:</b> oisf-users@lists.openinfosecfoundation.org<br>


<b>Subject:</b> Re: [Oisf-users] Suricata Heartbeat Alert<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<div>


<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana",sans-serif">You could also write a small script that would ping a target with a specific payload.  Then you could hava a sigantures that looks for that specific string of character and


 alert you then.  Just have it run as a cronjob at whatever interval you need.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana",sans-serif">Example:<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana",sans-serif">ping -p deadbeef 123.12.3.1<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana",sans-serif"> <o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana",sans-serif"> 


<o:p></o:p></span></p>


<div style="border:none;border-left:solid #C3D9E5 1.5pt;padding:0in 0in 0in 8.0pt;margin-left:7.5pt;margin-top:7.5pt;margin-right:3.75pt;margin-bottom:3.75pt;word-wrap: break-word;-webkit-nbsp-mode: space;-webkit-line-break: after-white-space" name="quote">


<div style="margin-bottom:7.5pt">


<p class="MsoNormal"><b><span style="font-size:9.0pt;font-family:"Verdana",sans-serif">Sent:</span></b><span style="font-size:9.0pt;font-family:"Verdana",sans-serif"> Friday, July 28, 2017 at 8:38 AM<br>


<b>From:</b> "Jason Ish" <<a href="mailto:ish@unx.ca">ish@unx.ca</a>><br>


<b>To:</b> <a href="mailto:oisf-users@lists.openinfosecfoundation.org">oisf-users@lists.openinfosecfoundation.org</a><br>


<b>Subject:</b> Re: [Oisf-users] Suricata Heartbeat Alert<o:p></o:p></span></p>


</div>


<div name="quoted-content">


<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana",sans-serif">On 2017-07-28 07:37 AM, Charles Devoe wrote:<br>


> Is there a way to have Suricata create a heartbeat alert? This alert<br>


> would be a dummy alert and would be used to let us know that the<br>


> Suricata system is up and working and all of our ancillary functions are<br>


> also working.<br>


<br>


No, Suricata does not support this. I know others have accomplished this<br>


by using a custom rule and periodically injecting a special packet into<br>


their network as a heartbeat. This is more a complete test as it tests<br>


the actual packet reception by the monitoring system as well.<br>


<br>


Jason<br>


<br>


_______________________________________________<br>


Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">


oisf-users@openinfosecfoundation.org</a><br>


Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support:


<a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>


List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">


https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>


<br>


Conference: <a href="https://suricon.net" target="_blank">https://suricon.net</a><br>


Trainings: <a href="https://suricata-ids.org/training/" target="_blank">https://suricata-ids.org/training/</a><o:p></o:p></span></p>


</div>


</div>


</div>


</div>


</div>


</div>


</body>


</html>